Группа Lazarus внедряет шпионское ПО через фиктивных IT-специалистов

Тактика внедрения и эксплуатации

Группа Lazarus десятилетиями атакует финансовый сектор, криптовалютные платформы и правительственные структуры. Однако в этой кампании акцент смещен на социальную инженерию. Атакующие трудоустраиваются в компании как IT-специалисты, что позволяет им обойти периметровые защиты. После получения доступа они развертывают вредоносную программу, замаскированную под легальное ПО для удаленного управления.

Ключевой компонент атаки - файл "monitorinstaller_update1.exe", который инициирует многоэтапный процесс внедрения. Сначала он отключает защитные механизмы Windows, включая Windows Defender и обновления. Затем в системе создается служба "WnSvc", имитирующая стандартный процесс обновления ОС. Для обеспечения постоянства (persistence) используется DLL-библиотека "systemui.dll", которая регистрируется через механизм Shell Icon Overlay Identifiers. Эта техника, ранее описанная в документах Vault 7, позволяет скрытно загружать код при каждом запуске проводника Windows.

Функциональность шпионского модуля

Основной вредоносный модуль "SystemUIExt.dll" выполняет три критические функции:

1. Перехват данных экрана: Программа непрерывно отслеживает активность пользователя, делая скриншоты при изменении контента на мониторе. Для оптимизации трафика используется сравнение кадров - данные передаются только при обнаружении изменений.
2. Удаленный доступ через TCP: На порту 30005 запускается сервер, позволяющий злоумышленнику просматривать экран жертвы в реальном времени и управлять мышью.
3. Сокрытие следов: Специальный поток контролирует работу службы "WnSvc", автоматически перезапуская ее при сбоях. Все данные шифруются алгоритмом XOR перед отправкой на контролируемый сервер.

Интересно, что в коде сохранились следы отладки - например, URL-адреса с упоминанием тестовых сред. Это указывает на то, что инструмент находится на стадии активной доработки.

Признаки принадлежности к Lazarus

Атрибуция кампании основана на нескольких факторах. Аналитики обнаружили тестовые документы с корейскими символами (например, «f:print가계표 - copy.docx»), а IP-адреса злоумышленников связаны с Северо-Восточной Азией. Кроме того, в инфраструктуре использовались инструменты для работы с Web3, такие как "web3-wallet-connect-app-flutter", что соответствует интересам Lazarus в криптоиндустрии.

По данным Microsoft, члены группы часто действуют через VPN и сервисы вроде Astrill, что затрудняет их отслеживание. Техники, примененные в этой кампании, совпадают с методами, ранее приписываемыми Lazarus: сложная персистентность, обход защитных решений и модульная архитектура вредоносного ПО.

Риски для бизнеса

Хотя точные цели атаки неизвестны, эксперты предполагают, что Lazarus нацелен на долгосрочный шпионаж. Внутренние документы, исходные коды и учетные данные сотрудников могут использоваться для последующих атак, включая кражу средств с криптокошельков. Организациям рекомендовано усилить проверку удаленных сотрудников, особенно в IT-отделах, и внедрить мониторинг нестандартных сетевых соединений.

Обнаруженный случай демонстрирует эволюцию тактик APT-групп: вместо прямого взлома они все чаще используют инсайдерские методы. Это требует пересмотра классических моделей кибербезопасности и включения поведенческого анализа в системы защиты.

MD5

• 0c54b86bc8ce4017fe2375f77d004020
• 3214097b251625b5b6bb1dd8cf535248
• 462d434aabc3954076480ff61f299f05
• 54ef01d1074f91e1959a8269743d869e
• 62565204478f0ef679aafd7c2f5ceae5
• 6ceaedac54a5763829dc193927ccecd8
• 87cb1482285329e744c16481738e1579
• 8ad4d981594e40620dc179b39312de91
• a52210763540abeda00f6923f02f7e33
• b13906367428aaf869ac74054116d1f3
• c9a71a3443156591131faff7b980e475
• e3bd8d4a7eda1cafcbc3c898d86ccb0c
• f3fcff392f44a3b7f0c49b7205c253ea